本文分析了针对物联网设备的UPnP漏洞利用情况,揭示了中国作为主要攻击源的现状。提到了针对物联网终端的安全防护机制,强调了云、管道、边缘计算的安全角色,并提出以终端保护为核心的防护体系,包括终端信息保护和异常分析。此外,讨论了物联网设备的固件、操作系统和信息保护策略,以及云端的异常分析和策略执行。
针对漏洞的恶意行为分析
我们共捕获到 4 种针对 UPnP 漏洞的利用行为 1,如表 4.7 所示。从中可以看出,这些漏洞均为远程 命令执行类漏洞。另外我们也发现,当漏洞出现在特定端口时,攻击者一般不会经过 UPnP 的发现阶段,
1 需要说明的是,由于 UPnP 的 SOAP服务端口众多,而 SSDP 服务中只能标识一个 SOAP端口,因此,我们主要是对 SOAP相关端
口进行了监听。如果攻击者首先进行 SSDP 服务发现,再根据服务发现内容决定下一步是否要进行攻击,我们则可能无法对其进行 捕获。
而是会选择直接对该特定端口进行攻击。
表 4.7 UPnP 漏洞利用情况(按源 IP 去重排序)
|ExploitDB编号|漏洞公开年份|CVE编号|漏洞描述|
对 UPnP 日志中的源 IP 去重之后,我们发现对 UPnP 漏洞进行过利用的 IP 约占所有 IP 的 29.6%。 我们对去重之后的源 IP 的国家分布进行了分析,从图 4.16 中可以看出, 位于中国的攻击源最多。更进 一步我们发现,来自中国攻击行为的 90% 位于自台湾省,中国大陆地区的攻击源量级与俄罗斯、美国 等国家的量级相当。结合图 2.2 中 2019 年国内 IPv4 资产地区分布情况,我们有如下推测,台湾省物联 网资产暴露数量多,恶意软件
在这些设备间广泛传播,部分失陷设备组成的僵尸网络进一步扩散,因为 设备基数庞大,我们捕获到的攻击源也相应更多。英国 
乌克兰 印度 巴西 土耳其 越南 阿根廷 美国 俄罗斯 中国
图 4.16 UPnP 类日志攻击源 IP 的国家分布情况
我们对来自中国的攻击源 IP 的资产类型进行分析。结合绿盟威胁情报中心(NTI)对这些 IP 资产 的开放端口信息与设备类型标记,我们对一些已知类型的设备进行分类。除了我们能够确认型号的摄像
头、NVR、路由器等物联网设备外,我们亦将符合以下标准的 IP 资产归类为嵌入式
/ 物联网设备。- 开放 UPnP 或 WS-Disc
overy 服务。- NTI识别到设备运行了 Dropbear、lighttpd、MiniHTTPD 服务。
通过以上标准进行分类的结果如图 4.17 所示。位于中国的 76.6% 的攻击源 IP 是物联网设备,其中 21.3% 的设备是摄像头、NVR,7.3% 的设备是路由器。攻击源与受害者都是物联网设备,再次印证了 我们的猜测,攻击者针对这些物联网设备进行攻击时,同时利用这些设备作为跳板攻击其他设备,并传 播恶意软件。
打印机 77
VoIP电话 91
路由器 956
摄像头/NVR 2788
其他设备 3992
其他物联网设备 9172
图 4.17 中国 UPnP 漏洞攻击源 IP 被 NTI标记的资产类型
结合捕获的攻击日志、关联漏洞与资产数据,我们也对潜在受影响的 UPnP 设备的国家分布进行了 分析。我们选取 UPnP 漏洞攻击行为关联的厂商信息、SDK信息、攻
最低0.47元/天 解锁文章
扫一扫
2503
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
